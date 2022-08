Meta wstrzykuje kod do stron internetowych w celu śledzenia użytkowników. Koncern tłumaczy, że nie robi tego w niecnych celach.

Według nowych badań przeprowadzonych przez Felixa Krause, eksperta od naruszeń prywatności w internecie, Meta modyfikuje kod stron internetowych odwiedzanych przez użytkowników swoich aplikacji, dzięki czemu może śledzić ich zachowanie w sieci. Zmiany w kodzie powstają po kliknięciu linków w aplikacjach Facebook i Instagram.

Obie aplikacje wykorzystują fakt, że użytkownicy, którzy klikają linki, są przenoszeni do stron internetowych wyświetlanych w „przeglądarce w aplikacji”, kontrolowanej przez Facebooka lub Instagrama, a nie są wysyłane do wybranej przez użytkownika przeglądarki internetowej, takiej jak Safari lub Firefox.

Zobacz również:

– Aplikacja Instagram wstrzykuje swój kod śledzenia do każdej wyświetlanej witryny, w tym podczas klikania reklam, umożliwiając tym monitorowanie wszystkich interakcji użytkownika, takich jak każdy kliknięty przycisk i link, wybór tekstu, wykonane zrzuty ekranu, a także wszelkie dane wejściowe formularzy, takie jak hasła, adresy i numery kart kredytowych – mówi Felix Krause, który stworzył narzędzie do tworzenia aplikacji przejęte przez Google w 2017 roku.

W odpowiedzi na to Meta oświadczyła, że wstrzyknięcie kodu śledzącego jest zgodne z preferencjami użytkowników i na podstawie wyrażonych przez nich zgód na śledzenie przez aplikacje. Koncern twierdzi, że dodatkowy kod był używany tylko do agregowania danych przed zastosowaniem w ukierunkowanej reklamie lub do celów statystycznych w przypadku użytkowników, którzy zrezygnowali z takiego śledzenia.

– Celowo opracowaliśmy ten kod, aby wyjść naprzeciw wyborom użytkowników naszych platform – powiedział rzecznik Mety. – Kod pozwala nam agregować dane użytkownika przed użyciem ich do ukierunkowanej reklamy lub do tworzenia statystyk. Nie dodajemy żadnych pikseli [szpiegujących]. Kod jest wstrzykiwany, abyśmy mogli agregować zdarzenia konwersji z pikseli. – W przypadku zakupów dokonywanych za pośrednictwem przeglądarki w aplikacji wymagamy zgody użytkownika na zapisanie informacji o płatnościach w celu automatycznego wypełniania.

Krause odkrył wstrzykiwanie kodu, budując narzędzie, które może wyświetlić listę wszystkich dodatkowych poleceń dodanych do witryny przez przeglądarkę. W przypadku zwykłych przeglądarek i większości aplikacji narzędzie nie wykrywa żadnych zmian, ale w przypadku Facebooka i Instagrama znajduje do 18 wierszy kodu dodanych przez aplikację. Te wiersze kodu wydają się być aktywne w poszukiwaniu konkretnego wieloplatformowego zestawu śledzącego, a jeśli nie jest on zainstalowany, to wywołują Meta Pixel, narzędzie śledzące, które pozwala firmie śledzić użytkownika w sieci i budować dokładny profil jego zainteresowań.

Meta nie informuje użytkownika, że w ten sposób "przepisuje" strony internetowe. Według badań Krausego taki kod nie jest dodawany do przeglądarki w aplikacji WhatsApp.

Meta traci, gdy nie śledzi

Wstrzyknięcie skryptu JavaScript to czynność polegająca na dodaniu kodu do strony internetowej, zanim zostanie ona wyświetlona użytkownikowi – jest to często klasyfikowane jako rodzaj złośliwego ataku. Na przykład Feroot, firma zajmująca się cyberbezpieczeństwem, opisuje to jako atak, który „pozwala cyberprzestępcy na manipulowanie witryną lub aplikacją internetową i zbieranie poufnych danych, takich jak informacje umożliwiające identyfikację osoby (PII) lub informacje o płatnościach”.

Nic nie wskazuje na to, że Meta wykorzystała wstrzykiwany JavaScript do zbierania tak wrażliwych danych. W firmowym opisie Meta Pixela, który zazwyczaj jest dobrowolnie dodawany do stron internetowych, aby pomóc firmom reklamować się wśród użytkowników na Instagramie i Facebooku, jest napisane, że narzędzie „pozwala śledzić aktywność odwiedzających w Twojej witrynie” i może zbierać powiązane dane.

Nie jest jasne, kiedy Facebook zaczął wstrzykiwać kod do śledzenia użytkowników po kliknięciu linków w aplikacjach. W ostatnich latach firma miała głośny publiczny konflikt z Apple, po tym, jak ten koncern wprowadził wymóg, aby twórcy aplikacji prosili o pozwolenie na śledzenie użytkowników. Według Mety, po uruchomieniu monitu wielu reklamodawców Facebooka nie było w stanie dotrzeć do użytkowników w sieci społecznościowej, co ostatecznie doprowadziło firmę na początku tego roku do utraty 10 miliardów dolarów przychodu i spadku cen akcji o 26%.

Źródło: The Guardian